Cisco VPN 配置命令详细解释

VPN 配置命令详细解释

1 aaa new-model
启用AAA（验证，授权，审计）

2 aaa authentication login dwhlogin local

aaa authentication {login|ppp|enable} {default|列表名称} {enable|krb5|line|local|none|group radius|group tacacs+}
三种模式：
     aaa authentication login ――――――当有一个登陆行为时进行认证；
     aaa authentication ppp ――――――对基于PPP协议的一些网络应用进行认证；
　   aaa authentication enable ――――――对使用enable命令进入特权模式时进行认证；
七种认证方法：
     enable           使用enabel口令认证；
     krb5             使用Kerberos5来认证；
     line             使用线路口令来认证；
     local            使用本地用户数据库来认证；
     none             不认证；
     group radius    使用radius服务器来认证；
     group tacacs+   使用tacacs+服务器来认证；
   每个列表中可以定义最多四种认证方法。
   定义的列表名称需要应用到接口和链路
     line vty 0
     aaa authentication dwhlogin

3 aaa authorization network dwhgroup local
  
    aaa authorization {auth-proxy | network |exec | command level |reverse-access |configuration | ip moblie}

{default|list-name} [method1[method2...]
    七种授权模式：
    auth-proxy       应用指定的安全策略，基于每用户
    network          应用到network connection,包括ppp,slip,或arap连接
    reverse access   应用到反向telnet会话
    exec             应用到与用户terminal session联系的属性。
    commands         应用到exec模式命令给user执行，commands授权。可以有0-15十六个命令集（等级15是全部命令的集合）
    五种认证方法方法：
    tacacs+          用塔克斯给其授权。
    if-authenticated 如果user验证通过了，那么它即被授权了。
    none             无需授权。
    local            用定义了的username授权。
    radius           radius给其授权。
    定义的列表名称需要应用到接口和链路

4 crypto isakmp policy 5
   定义ISAKMP策略。最后的数字越小，应用的优先级越高
   内部定义以下命令：
   encr 3des       指定加密算法DES
   hash md5        指定散列算法
   authentication pre-share 指定验证为预共享
   group 2         指定diffie hellman组为2

5 crypto isakmp client configuration group 组名
   选择了Local（本地授权方式），必须在路由器上使用以上命令定义组。内部有以下命令。
   key pre_shared_key   创建一个预共享密钥为组认证使用，必须定义组名和这个组的密钥，如果没有定义key，证书将作为设备认证。
   pool pool_name       用来对这个组的成员进行响应的地址池的名字，名字必须和ip local pool的名字一样
   domain domain_name   定义指定给远程用户的域名
   dns 1st_DNS_server [2nd_DNS_server]
   split-dns domain_name
   wins 1st_WINS_server [2nd_WINS_server]
   include-local-lan
   acl ACL_name_or_#    命令允许你简历隧道分离配置，通过这条命令，你可以通过定义一个IP ACL规定哪些流量被保护
   backup-gateway {IP_address | hostname} 从12.3(4)T开始, 路由器可以列出10个备份EasyVPN Server的地址用来连接远程用户
   save-password        在IOS 12.3(2)T中，当打开时，在客户连接完成并且接收IKE mode 配置的策略，在以后链接到服务器时用户允许  

                     本地存储扩展认证的密码
   pfs                  在IOS 12.3(4)T，允许使用向前完美加密，PFS可以使得更加安全
   max-logins #_of_simultaneous_logins
   max-users #_of_users 在IOS 12.3(4)T这两个命令出现，对同时最大登陆数和每组的用户会话进行限制
   access-restrict interface_name
   group-lock           命令允许用户在扩展认证的同时对用户名密码和组进行认证

6 crypto ipsec transform-set dwhtest esp-aes esp-sha-hmac
定义传输数据和完整性验证的策略，名字为test

7 crypto dynamic-map dwhdynmap 5
定义动态map，名字为dwhdynmap
内部有set transform-set dwhset 命令，引用第6步定义的传输集dwhset

8 crypto map dwhmap client authentication list dwhlogin
定义map，名字为dwhmap。
客户端认证引用第2步定义的列表dwhlogin

9 crypto map dwhmap isakmp authorization list dwhgroup
定义map，名字为dwhmap
客户端授权引用第3步定义的列表dwhgroup

10 crypto map dwhmap client configuration address respond
定义map，名字为dwhmap
客户端地址配置策略：请求响应类型。还可以选择push地址到客户端

11 crypto map dwhmap 500 ipsec-isakmp dynamic dwhdynmap
定义map，名字为dwhmap
500            Sequence to insert into crypto map entry的值
ipsec-isakmp   ipsec-isakmp和ipsec-manual可供选择
dwhdynmap      为引用的第7步定义的动态map的名字

12 ip local pool dwhpool 192.168.100.100 192.168.100.200
定义地址池，在第5步中引用

13 ip access-list extended dwhvpn
      permit ip any any

定义ACL，在第5步中引用

14 interface FastEthernet0/0
crypto map dwhdynmap

在接口0/0上启用VPN

15 username dwhuser password 0 dwhuser
在路由器上建立用户和密码

16 客户端的配置(Cisco VPN客户端)

(1)输入路由器FastEthernet0/0端口的IP地址
(2)输入组的名字，以上第5步配置的组名
(3)针对选择的组，输入组的密码（第5步中配置的Key的密码）
(4)使用dwhuser连接,输入相应用户的密码就可以了。

 

文章转载至http://bbs.net527.cn  无忧网客联盟

无忧网客联盟主站

无忧linux时代